Microsoft Defender voor Eindpunt op Linux

Tip

We zijn verheugd om te delen dat Microsoft Defender voor Eindpunt op Linux nu de ondersteuning voor OP ARM64 gebaseerde Linux-servers in preview uitbreidt. Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor meer informatie.

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt op Linux installeert, configureert, bijwerkt en gebruikt.

Voorzichtigheid

Het uitvoeren van andere niet-Microsoft endpoint protection-producten naast Microsoft Defender voor Eindpunt op Linux leidt waarschijnlijk tot prestatieproblemen en onvoorspelbare bijwerkingen. Als niet-Microsoft Endpoint Protection een absolute vereiste is in uw omgeving, kunt u nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit hebt geconfigureerd voor uitvoering in de passieve modus.

Microsoft Defender voor Eindpunt installeren in Linux

Microsoft Defender voor Eindpunt voor Linux bevat mogelijkheden voor antimalware en eindpuntdetectie en -respons (EDR).

Vereisten

• Toegang tot de Microsoft Defender-portal
• Linux-distributie met behulp van systemdsystem manager
• Ervaring op beginnersniveau in Linux- en BASH-scripting
• Beheerdersbevoegdheden op het apparaat (voor handmatige implementatie)

Opmerking

Linux-distributie met behulp van systeembeheerder ondersteunt zowel SystemV als Upstart. Microsoft Defender voor Eindpunt op Linux-agent is onafhankelijk van de OMS-agent. Microsoft Defender voor Eindpunt is afhankelijk van een eigen onafhankelijke telemetriepijplijn.

Systeemvereisten

• CPU: minimaal 1 CPU-kern. Voor workloads met hoge prestaties worden meer kernen aanbevolen.

• Schijfruimte: minimaal 2 GB. Voor workloads met hoge prestaties is mogelijk meer schijfruimte nodig.

• Geheugen: minimaal 1 GB RAM-geheugen. Voor workloads met hoge prestaties is mogelijk meer geheugen nodig.

  Opmerking

  Het kan nodig zijn om de prestaties af te stemmen op basis van workloads. Zie Prestatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux.

• De volgende Linux-serverdistributies en x64-versies (AMD64/EM64T) worden ondersteund:

  • Red Hat Enterprise Linux 7.2 of hoger
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 of hoger
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 of hoger
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 en hoger
  • Rocky 9.2 en hoger
  • Alma 8.4 en hoger
  • Alma 9.2 en hoger
  • Mariner 2

• De volgende Linux-serverdistributies op ARM64 worden nu ondersteund in preview:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Belangrijk

  Ondersteuning voor Microsoft Defender voor Eindpunt op Linux voor Op ARM64 gebaseerde Linux-apparaten is nu beschikbaar als preview-versie. Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor meer informatie.

  Opmerking

  Distributies en versies die niet expliciet worden vermeld, worden niet ondersteund (zelfs als ze zijn afgeleid van de officieel ondersteunde distributies). Nadat een nieuwe pakketversie is uitgebracht, wordt de ondersteuning voor de vorige twee versies beperkt tot alleen technische ondersteuning. Versies die ouder zijn dan de versies die in deze sectie worden vermeld, zijn alleen beschikbaar voor technische upgrade-ondersteuning. Microsoft Defender Vulnerability Management wordt momenteel niet ondersteund op Rocky en Alma. Microsoft Defender voor Eindpunt voor alle andere ondersteunde distributies en versies is kernelversie-agnostisch. Met een minimale vereiste voor de kernelversie op of groter dan 3.10.0-327.

  Voorzichtigheid

  Het uitvoeren van Defender voor Eindpunt op Linux naast andere fanotifybeveiligingsoplossingen wordt niet ondersteund. Dit kan leiden tot onvoorspelbare resultaten, waaronder het vasthangen van het besturingssysteem. Als er andere toepassingen op het systeem zijn die in de blokkeringsmodus worden gebruikt fanotify , worden toepassingen vermeld in het conflicting_applications veld van de mdatp health opdrachtuitvoer. De Linux FAPolicyD-functie gebruikt fanotify in de blokkeringsmodus en wordt daarom niet ondersteund bij het uitvoeren van Defender voor Eindpunt in de actieve modus. U kunt nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit real-timebeveiliging hebt geconfigureerd in de passieve modus.

• Lijst met ondersteunde bestandssystemen voor RTP, Snel, Volledig en Aangepaste scan.

  RTP, snel, volledige scan	Aangepaste scan
  btrfs	Alle bestandssystemen die worden ondersteund voor RTP, Quick, Full Scan
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  fuse	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (alleen v3)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

• Auditframework (auditd) moet zijn ingeschakeld als u auditd gebruikt als uw primaire gebeurtenisprovider.

  Opmerking

  Systeemevenementen die zijn vastgelegd door regels die zijn toegevoegd aan /etc/audit/rules.d/ , worden toegevoegd aan audit.log(s) en kunnen van invloed zijn op hostcontrole en upstream-verzameling. Gebeurtenissen die door Microsoft Defender voor Eindpunt in Linux zijn toegevoegd, worden gelabeld met mdatp een sleutel.

• /opt/microsoft/mdatp/sbin/wdavdaemon vereist uitvoerbare machtiging. Zie 'Controleren of de daemon uitvoerbare machtiging heeft' in Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux voor meer informatie.

Installatie-instructies

Er zijn verschillende methoden en implementatiehulpprogramma's die u kunt gebruiken om Microsoft Defender voor Eindpunt op Linux te installeren en te configureren. Voordat u begint, moet u ervoor zorgen dat aan de minimumvereisten voor Microsoft Defender voor Eindpunt wordt voldaan.

U kunt een van de volgende methoden gebruiken om Microsoft Defender voor Eindpunt in Linux te implementeren:

• Zie Handmatige implementatie als u het opdrachtregelprogramma wilt gebruiken
• Zie Deploy using Puppet configuration management tool (Deploy using Puppet configuration management tool) als u Puppet wilt gebruiken
• Zie Implementeren met ansible-hulpprogramma voor configuratiebeheer als u Ansible wilt gebruiken
• Als u Chef wilt gebruiken, raadpleegt u Implementeren met chef-configuratiebeheerprogramma
• Zie Deploy using Saltstack configuration management tool (Implementeren met saltstack-configuratiebeheerprogramma) als u Saltstack wilt gebruiken
• Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor installatie op Linux-servers op basis van ARM64.

Als u installatiefouten ondervindt, raadpleegt u Installatiefouten oplossen in Microsoft Defender voor Eindpunt op Linux.

Belangrijk

Het installeren van Microsoft Defender voor Eindpunt op een andere locatie dan het standaardinstallatiepad wordt niet ondersteund. Microsoft Defender voor Eindpunt in Linux maakt een mdatp gebruiker met willekeurige UID en GID. Als u de UID en GID wilt beheren, maakt u vóór de installatie een mdatp gebruiker met behulp van de /usr/sbin/nologin shell-optie. Hier volgt een voorbeeld: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Afhankelijkheid van extern pakket

Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden. De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:

• Het rpm-pakket mdatp vereist glibc >= 2.17, audit, semanagepolicycoreutilsselinux-policy-targetedenmde-netfilter
• Voor RHEL6 vereist audithet mdatp RPM-pakket , policycoreutils, libselinuxen mde-netfilter
• Voor DEBIAN vereist libc6 >= 2.23het mdatp-pakket , uuid-runtime, auditden mde-netfilter

Hetmde-netfilter pakket heeft ook de volgende pakketafhankelijkheden:

• Voor DEBIAN vereist libnetfilter-queue1het mde-netfilter-pakket , en libglib2.0-0
• Voor RPM vereist libmnlhet mde-netfilter-pakket , libnfnetlink, libnetfilter_queueen glib2

Uitsluitingen configureren

Wanneer u uitsluitingen toevoegt aan Microsoft Defender Antivirus, moet u rekening houden met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus.

Netwerkverbindingen

Zorg ervoor dat connectiviteit tussen uw apparaten en Microsoft Defender voor Eindpunt cloudservices mogelijk is. Als u uw omgeving wilt voorbereiden, raadpleegt u STAP 1: Uw netwerkomgeving configureren om verbinding te maken met de Defender for Endpoint-service.

Defender voor Eindpunt op Linux kan verbinding maken via een proxyserver met behulp van de volgende detectiemethoden:

• Transparante proxy
• Handmatige configuratie van statische proxy

Als een proxy of firewall anoniem verkeer blokkeert, controleert u of anoniem verkeer is toegestaan in de eerder vermelde URL's. Voor transparante proxy's is er geen andere configuratie nodig voor Defender voor Eindpunt. Voor statische proxy volgt u de stappen in Handmatige configuratie van statische proxy.

Waarschuwing

PAC, WPAD en geverifieerde proxy's worden niet ondersteund. Zorg ervoor dat alleen een statische proxy of transparante proxy wordt gebruikt. SSL-inspectie en het onderscheppen van proxy's worden ook om veiligheidsredenen niet ondersteund. Configureer een uitzondering voor SSL-inspectie en uw proxyserver om gegevens van Defender voor Eindpunt op Linux rechtstreeks door te geven aan de relevante URL's zonder interceptie. Als u uw interceptiecertificaat toevoegt aan het globale archief, is onderschepping niet toegestaan.

Zie Problemen met cloudconnectiviteit oplossen voor Microsoft Defender voor Eindpunt in Linux voor probleemoplossingsstappen.

Microsoft Defender voor Eindpunt bijwerken in Linux

Microsoft publiceert regelmatig software-updates om de prestaties en beveiliging te verbeteren en nieuwe functies te leveren. Als u Microsoft Defender voor Eindpunt in Linux wilt bijwerken, raadpleegt u Updates implementeren voor Microsoft Defender voor Eindpunt op Linux.

Microsoft Defender voor Eindpunt configureren in Linux

Richtlijnen voor het configureren van het product in bedrijfsomgevingen vindt u in Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux.

Algemene toepassingen om te Microsoft Defender voor Eindpunt kunnen van invloed zijn

Hoge I/O-workloads van bepaalde toepassingen kunnen prestatieproblemen ondervinden wanneer Microsoft Defender voor Eindpunt wordt geïnstalleerd. Dergelijke toepassingen voor scenario's voor ontwikkelaars omvatten Jenkins en Jira, en databaseworkloads zoals OracleDB en Postgres. Als de prestaties afnemen, kunt u uitsluitingen instellen voor vertrouwde toepassingen, waarbij u rekening houdt met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus. Raadpleeg documentatie over antivirusuitsluitingen van niet-Microsoft-toepassingen voor meer hulp.

Middelen

• Zie Resources voor meer informatie over logboekregistratie, verwijdering of andere artikelen.

Verwante artikelen

• Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Defender for Cloud: Microsoft Defender voor Eindpunt
• Uw niet-Azure-machines verbinden met Microsoft Defender voor cloud
• Netwerkbeveiliging inschakelen voor Linux

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.